Tecnologia da Informação

Governança e GesTão de TI em 30 audITorIas

Na Administração Pública, governar a tecnologia da informação (TI) tem um objetivo: entregar resultados às organizações, aos cidadãos e à sociedade.

Também conhecida como “criação de valor”, a expressão “entregar resultados”, em TI, segundo as boas práticas, equivale a bem desempenhar três atividades: garantir a entrega de benefícios, otimizar o uso dos recursos disponíveis e manter os riscos em níveis aceitáveis. Em busca de conhecer e avaliar como a Administração Pública Federal (APF) tem-se organizado na área de TI para desempenhar essas três atividades, foram realizadas trinta auditorias, entre abril de 2013 e setembro de 2014. Para tanto, a Secretaria de Fiscalização de Tecnologia da Informação (Sefti) coordenou o trabalho com o apoio das secretarias de controle externo nos estados do AM, CE, PE, PR, RS e SP.

Desde 2007, a Sefti coleta informações sobre a situação da governança de TI junto às organizações que integram a APF. Nesse período, já se realizaram quatro levantamentos: 2007, 2010, 2012 e 2014. Após cada levantamento, é realizada uma série de fiscalizações com vistas a averiguar, em um subconjunto de organizações públicas federais, se a situação informada pelos gestores corresponde à realidade, bem como coletar boas práticas e ajudar na sua disseminação a outras organizações.

Objetivo da fiscalizaçãoApós a terceira edição do levantamento, em 2013, entendeu-se que era preciso avançar na avaliação

dos mecanismos de governança e de gestão de TI, com o objetivo de atribuir maior peso na análise dos resultados efetivamente entregues e na forma como os riscos têm sido mitigados. Neste contexto, surgiu o presente trabalho.

A fiscalização foi dividida em duas fases. A primeira envolveu 24 auditorias com a finalidade de avaliar a implementação de controles informados em resposta aos levantamentos do TCU, bem como analisar as próprias respostas apresentadas. A segunda envolveu seis auditorias, cinco delas realizadas em organizações que detêm altos índices de governança de TI de acordo com os levantamentos conduzidos pelo TCU. A maior complexidade dos controles avaliados na segunda fase foi a principal diferença entre as duas etapas. O propósito era colher experiências e boas práticas de organizações mais maduras em termos de governança e gestão de TI, ao mesmo tempo em que eram avaliadas as causas de problemas e dificuldades relatadas pelo primeiro conjunto de organizações.

Principais achados do TCUNa primeira fase, os relatórios indicaram problemas e dificuldades em todas as organizações

fiscalizadas. Enquanto avanços foram percebidos em algumas organizações, em outras as respostas apresentadas ao questionário não correspondiam à realidade: em um órgão, foram encontradas inconsistências em 30% das respostas apresentadas ao TCU. De maneira geral, são exemplos de áreas que continuam a representar desafios: a atuação da alta administração na governança dos assuntos de TI; gestão de níveis de serviço; e segurança da informação.

Na segunda fase, os pontos negativos foram em pequeno número, enquanto as boas práticas ressoaram. Bons exemplos, como o acompanhamento efetivo de projetos e metas de TI, praticados no Banco Central do Brasil e na Companhia Hidroelétrica do São Francisco (Chesf), foram identificados e relatados. A adoção de boas práticas e controles, por si só, não assegura o sucesso de projetos, porém, favorece, e muito, a obtenção de resultados positivos.

As constatações das trinta fiscalizações consolidaram-se em um relatório final. Este documento foi dividido em sete temas: Questionário, Governança, Estratégia e Planejamento, Resultados de TI, Gestão de Riscos, Segurança da Informação e Gestão de Recursos. As tabelas seguintes apresentam algumas das principais constatações. Para mais informações, recomenda-se a leitura do relatório consolidador disponível em www.tcu.gov.br/fiscalizacaoti.

Tecnologia da Informação

www.facebook.com/tcuoficial www.youtube.com/tcuoficial

www.tcu.gov.brwww.twitter.com/tcuoficial

Tema Principais constatações nas fiscalizações da 1ª faseQuestionário As respostas fornecidas pelas organizações durante o levantamento PerfilGovTI do TCU de 2012

tiveram razoável fidedignidade (média de inconsistências por organização de 8,71%).

Governança Há um distanciamento da alta administração em relação aos assuntos de TI. A maioria das or-ganizações não dispõe de um processo organizado orientado à melhoria da governança de TI.

Estratégia e Planejamento

46% das organizações auditadas no Poder Executivo não possuem processo de planejamento estratégico de TI, nem tampouco um plano diretor de TI formalizado e publicado. Avanços foram identificados no Poder Judiciário e são atribuídos à maior regulação dessa prática nesse Poder.

Segurança da Informação

Planejamento inadequado e inexistência de análises de risco consistentes que respaldem as ações de segurança da informação. Falhas recorrentes no estabelecimento de processos como: gestão de continuidade de negócio, controle de acesso, gestão de riscos de segurança da infor-mação e gestão de incidentes.

Tema Principais constatações nas fiscalizações da 2ª fase

Estratégia e Planejamento

Foram identificadas práticas maduras para o acompanhamento dos objetivos e metas formula-dos nos planos de TI e para a seleção e priorização de projetos.

Resultados de TI

Pesquisa aplicada revelou: percepção de que os sistemas efetivamente contribuem para o atin-gimento dos resultados organizacionais; alto grau de satisfação com a estrutura computacional básica (estações de trabalho, correio eletrônico, internet e impressoras); elevado índice de descontentamento com o tempo empreendido para atendimento de demandas de sistemas (manutenções, evoluções e correções).

Gestão de Riscos

As ações práticas de gestão de riscos de TI, muitas vezes, são desempenhadas exclusivamente pela TI, ficando separadas da gestão de riscos corporativa.

Gestão de Recursos

Custos indiretos de TI, como os custos com recursos humanos, não são devidamente apurados e incorporados ao custo global das ações de TI.

Deliberações do TCUAlém dos encaminhamentos específicos dirigidos a cada organização auditada, o relatório

final contempla determinações e recomendações a órgãos governantes superiores (OGS), como o Departamento de Coordenação e Governança das Empresas Estatais e a Secretaria de Logística e Tecnologia da Informação, ambos do Ministério do Planejamento, bem como os Conselhos Nacionais de Justiça e do Ministério Público. Os OGS receberam recomendações com vistas a fomentar o aprimoramento de sua atuação e, por consequência, das organizações sob sua supervisão.

Sugeriu-se o aprimoramento da interlocução entre os OGS para propiciar mais aproveitamento das experiências e produtos desenvolvidos por cada um deles, tais como: guias, normativos e processos. Ainda, recomendou-se o aprimoramento da condução da estratégia geral de tecnologia da informação nos Poderes Executivo e Judiciário. Também, recomendou-se a adoção de planejamento estratégico setorial específico para a segurança da informação desses poderes, de forma a dar tratamento sistêmico para essa questão que ainda inspira cuidados.

Benefícios esperadosOs benefícios esperados com a atuação do TCU se traduzem na indução de melhorias na organização

interna (governança, gestão de TI) das unidades auditadas, bem como indução da melhoria da governança de TI de toda a APF por meio de orientações aos OGS.

acórdãoAcórdão 3.051/2014-TCU-PlenárioData da sessão: 5/11/2014 Relator: Ministro-Substituto Weder de OliveiraTC: 023.050/2013-6Unidade técnica responsável: Secretaria de Fiscalização de Tecnologia da Informação (Sefti)